The entity limits the use of personal information to the purposes identified in the entity’s objectives related to privacy.
Points of focus:
- Uses Personal Information for Intended Purposes
Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.
Dokumentaation on sisällettävä vähintään:
Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.
Organisaatio kerää henkilötietoja vain tietyssä, nimenomaisessa ja laillisessa tarkoituksessa, eikä käsittele henkilötietoja alkuperäisten tarkoitusten kanssa yhteensopimattomalla tavalla myöhemmin.
Periaatteen toteutuminen tulisi varmistaa säännöllisesti kokonaisuuden näkökulmasta vertaamalla hallintajärjestelmän dokumentaatiota (etenkin tietojen käyttötarkoitukset) henkilötietojen todelliseen hyödyntämiseen organisaation arjessa.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.